Платформа NFT XCarnival пад атакай: зламыснікі выкарыстоўваюць токен BAYC

змест

• Платформа крэдытавання XCarnival NFT атакавана праз незвычайны вектар
• Хакеры пачалі вяртаць сродкі

Згодна з пратаколам пасмяротны, спецслужбы ўжо «папярэдне вызначылі» месцазнаходжанне хакераў, ідуць перамовы.

Платформа крэдытавання XCarnival NFT атакавана праз незвычайны вектар

Згодна з заявай, распаўсюджанай PeckShield, вядучым пастаўшчыком кібербяспекі для блокчейн-прадуктаў, была атакавана платформа крэдытавання NFT XCarnival.

1/ @XCarnival_Lab быў выкарыстаны ў шквале txs (адзін хак tx: https://t.co/LUcxSU9UQn),
што прывяло да выйгрышу 3,087 ETH (~3.8 мільёна долараў) для хакера (страта пратакола можа быць большай). pic.twitter.com/mmGw5PQfbt

- PeckShield Inc. (@peckshield) Чэрвень 26, 2022

Зламыснікам удалося атрымаць бясконцую колькасць пазык, выкарыстоўваючы адзін і той жа гучны NFT (Bored Apes Yacht Club №5110). Пратакол стаў мішэнню «шквалу» транзакцый, ініцыяваных хакерамі.

Зламыснікам удалося стварыць некалькі кантрактных адрасоў, закласці BAYC NFT у якасці закладу, атрымаць пазыку, неадкладна зняць NFT і паўтарыць гэтую працэдуру некалькі разоў.

Такім чынам, хакеры пазычылі больш за 3.8 мільёна долараў у эквіваленце Ethereum (ETH) без неабходнасці вяртаць пазыку. Гэта стала магчымым дзякуючы ўразлівасці ў кодавай базе модуля запазычання.

Хакеры пачалі вяртаць сродкі

Каманда неадкладна паведаміла аб праблеме ў органы кібербяспекі і праваахоўныя органы. Першапачаткова хакеру прапанавалі ўзнагароду ў памеры 300,000 тысяч долараў за вяртанне сродкаў, але потым суму павялічылі да 1.8 мільёна долараў.

Асноўны кантракт, а таксама функцыі дэпазіту і пазыкі былі адключаны, каб карыстальнікі XCarnival не страцілі свае сродкі.

Паколькі зламысніка высачылі, пачаліся перамовы. На момант публікацыі ён/яна вярнуў 1,467 скрадзеных эфіраў (ETH). Варта таксама адзначыць, што першапачатковыя сродкі для нападу былі пераведзены з міксера Tornado Cash.

Як паведамляў U.Today раней, хакеры атакавалі пратакол дэцэнтралізаванага крэдытавання/пазычання Inverse Finance раней у гэтым месяцы; страты перавысілі 1.25 мільёна долараў у эквіваленце.